附件2:国家电子政务外网安全等级保护基本要求(试行)Baseline for classified protection of National E-Government Network国家电子政务外网管理中心二○一一年十二月目次前言.................................................................................. . (1)引言.......................................................................................... (2)适用围.......................................................................................... .. (3)2. 规性引用文件.......................................................................................... (3)3. 术语和定义........................................................................................ (3)4. 政务外网资产、威胁分析和脆弱性........................................................................................ . (5)4.1. 资产分析.......................................................................................... .. (5)4.2. 威胁分析.......................................................................................... .. (6)4.3. 脆弱性分析.......................................................................................... . (7)5. 政务外网安全等级保护概述.......................................................................................... .. (8)5.1. 政务外网安全保护等级........................................................................................ .. (8)5.2. 不同等级的安全保护能力........................................................................................ . (8)6. 第二级基本要求.......................................................................................... (9)6.1. IP 承载网 96.1.1. 广域网........................................................................................ (9)6.1.2. 城域网........................................................................................ (9)6.1.3. 用户局域网........................................................................................ .. (10)6.2. 业务区域网络........................................................................................ . (10)6.2.1. 公用网络区........................................................................................ .. (10)6.2.2. 互联网接入区........................................................................................ . (10)6.3. 管理区域网络........................................................................................ (11)6.3.1. 网络管理区........................................................................................ .. (11)6.3.2. 安全管理区........................................................................................ .. (11)7. 第三级基本要求.......................................................................................... . (11)7.1. IP 承载网 117.1.1. 广域网........................................................................................ . (11)I7.1.2. 城域网.......................................................................................... (12)7.1.3. 用户局域网.......................................................................................... . (13)7.2. 业务区域网络.......................................................................................... (14)7.2.1. 公用网络区.......................................................................................... . (14)7.2.2. 互联网接入区........................................................................................ .. (14)7.2.3. 专用网络区.......................................................................................... . (15)7.3. 管理区域网络.......................................................................................... (15)7.3.1. 网络管理区.......................................................................................... . (15)7.3.2. 安全管理区.......................................................................................... . (16)7.3.3. 电子认证区.......................................................................................... . (16)II为了贯彻国家信息安全相关法律法规,落实信息安全等级保护相关技术要求,根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求,为规国家电子政务外网安全等级保护的工作,针对政务外网的具体情况,特制定本要求。
本要求由国家电子政务外网管理中心提出。
本要求由国家电子政务外网管理中心归口。
本要求主要起草单位:国家电子政务外网管理中心办公室、国家信息中心信息安全研究与服务中心本要求主要起草人:大奇、周民、解伍、吴亚非、建国、邵、禄凯、永刚、罗、吕品、徐春学、晓光本要求由国家电子政务外网管理中心负责解释。
本要国家电子政务外网安全等级保护相关系列标准之一。
本要求与国标《计算机信息系统安全保护等级划分准则》(GB 17859-1999)、《信息系统安全等级保护基本要求》(GB/T 22239-2008)等标准共同构成了国家电子政务外网安全等级保护的相关配套标准。
其中GB 17859-1999、GB/T 22239-2008是基础性标准,为政务外网安全等级保护遵从的基本要求。
本要针对国家电子政务外网现状、技术特点和安全防护要求作进一步细化和扩展,是对GB/T 22239-2008的补充,本要求未提到部分均按GB/T 22239-2008的基本要求执行。
与本要求相关的系列标准包括:——《国家电子政务外网安全等级保护实施指南》在本要求文本中,黑体字表示较低等级中没有出现或增强的要求。
对于承载涉及国家秘密信息系统的网络保护要求,按照国家相关法律法规和信息安全主管部门的相关规定和标准实施。
对于涉及密码的使用和管理,按照国家密码管理主管部门的相关规定和标准实施。